如何使用全局安全访问流量日志（预览版）

监视全局安全访问的流量是确保租户配置正确且用户获得最佳体验的重要活动。 全局安全访问流量日志（预览版）可深入了解谁正在访问哪些资源、从何处访问资源以及执行了哪些操作。

本文介绍了如何使用全局安全访问的流量日志。

先决条件

• Microsoft Entra ID 中的全局安全访问管理员角色。
• 产品需要经过许可。 有关详细信息，请参阅什么是全球安全访问的许可部分。 如果需要，可以购买许可证或获取试用许可证。

流量日志的使用方式

全局安全访问的日志提供了网络流量的详细信息。 为了更好地理解这些详细信息，知道如何分析这些详细信息来监视环境，了解日志的三个级别以及彼此之间的关系会很有帮助。

访问网站的一个用户代表一个会话，在该会话中可能有多个连接，在该连接中可能有多个事务。

• 会话：会话由用户访问的第一个 URL 来标识。 然后，该会话可能打开许多连接，例如包含来自多个不同网站的多个广告的某个新闻网站。
• 连接：连接包括源和目标 IP、源和目标端口、完全限定的域名 (FQDN)。 连接部分包括 5 个元组。
• 事务：事务是唯一的请求和响应配对。

在每个日志实例中，可在详细信息中看到连接 ID 和事务 ID。 使用筛选器可查看单个会话的所有连接和事务。

如何查看流量日志

1. 至少以报告读取者身份登录到 Microsoft Entra 管理中心。
2. 全局安全访问>监视器>流量日志。

页面顶部显示所有事务的摘要，以及每种类型流量的明细。 选择“Microsoft 365”“专用访问”按钮，以筛选每个流量类型的日志。

注意

此时，日志详细信息不提供会话 ID 信息。

查看日志详细信息

从列表中选择某个日志可查看详细信息。 这些详细信息提供了有价值的信息，可用于筛选日志，以获取特定详细信息，或者进行故障排除。 详细信息可添加为列，并用于筛选日志。

行和列选项

流量日志可以提供许多详细信息，因而在开始时只有一些列是可见的。 根据你要执行的分析或故障排除任务，启用和禁用一部分列，因为在选择的列过多的情况下，日志可能难以查看。 列和筛选器选项与活动详细信息中的每个项目保持一致。

从页面顶部选择“列”可更改显示的列。

若要将流量日志筛选为特定详细信息，请选择“添加筛选器”按钮，然后输入要筛选的详细信息。

例如，如果要查看某个特定连接的所有日志：

1. 选择日志详细信息，并从活动详细信息复制 connectionId。

2. 选择“添加筛选器”并选择“连接 ID”。

3. 在显示的字段中，粘贴 connectionId 并选择“应用”。

   

故障排除方案

以下详细信息可能有助于我们进行故障排除和分析：

• 如果你对发送和接收的流量的大小感兴趣，请启用“发送的字节数”和“接收的字节数”列。 选择列标题可按日志大小对日志进行排序。
• 如果要查看某个风险用户的网络活动，可以按用户主体名称筛选结果，然后查看他们正在访问的站点。
• 若要查找要阻止或允许的网站类型的流量，请启用“Web 类别”列。

日志详细信息提供了有关网络流量的宝贵信息。 并非所有详细信息都在以下列表中定义，但以下详细信息对故障排除和分析非常有用：

• 事务 ID：表示请求/响应配对的唯一标识符。
• 连接 ID：表示发起日志的连接的唯一标识符。
• 设备类别：发起事务的设备类型。 可能是客户端或远程网络。
• 操作：对网络会话执行的操作。 可能是允许或拒绝。

配置诊断设置以导出日志

可以将全局安全访问流量日志（预览版）导出到终结点，以便进一步分析和发出警报。 此集成在 Microsoft Entra 诊断设置中配置。

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。

2. 浏览到“标识”>“监视和运行状况”>“诊断设置”。

3. 选择“添加诊断设置”。

4. 为诊断设置指定名称。

5. 选择 NetworkAccessTrafficLogs。

6. 选择要将日志发送到的位置的“目标详细信息”。 选择以下任意或所有目标。 将显示其他字段，具体取决于所选内容。

   • 发送到 Log Analytics 工作区：从显示的菜单中选择相应的详细信息。
   • 存档到存储帐户：在日志类别旁显示的“保留天数”框中提供要保留数据的天数。 从显示的菜单中选择相应的详细信息。
   • 流式传输到事件中心：从显示的菜单中选择相应的详细信息。
   • 发送到合作伙伴解决方案：从显示的菜单中选择相应的详细信息。

后续步骤

• 了解流量仪表板
• 查看全局安全访问的审核日志
• 访问扩充的 Microsoft 365 日志